Để truy cập vào các dịch vụ này, tương ứng các cổng phía trên, chúng tôi đặt ra một thử thách như sau:
Đầu tiên, phải gửi một gói tin đến cổng 3344 trên Router; sau đó gửi một gói tin đến cổng 4455; kế tiếp gửi một gói tin đến cổng 5566; một gói tin đến cổng 6677; và một gói tin đến cổng 7711. (Chúng tôi sẽ hướng dẫn cách gửi gói tin đến cổng, tại phần sau).
Trình tự thực hiện lần lượt: 3344 > 4455 > 5566 > 6677 > 7711 .
! Chỉ cần thực hiện không đúng trình tự này, các khách hàng sẽ chặn truy cập.

Bước 1. Tạo một nhóm các IP, không bị chặn bởi Knocking.
Tại Menu IP – Firewall – Thẻ Address Lists.
Chúng tôi khởi tạo một danh sách với tên gọi: WhiteList
Các mạng nội bộ có thể truy cập vào bộ định tuyến mà không có giới hạn bởi Port Knocking.

Bước 2. Sử dụng danh sách để tạo thứ tự danh sách và vòng lặp sắp xếp địa chỉ.

/ip firewall filter
add chain=input dst-port=3344 protocol=tcp action=add-src-to-address-list address-list=”Vong 1″ address-list-timeout=1m
add chain=input dst-port=4455 protocol=tcp src-address-list=”Vong 1″ action=add-src-to-address-list address-list=”Vong 2″ address-list-timeout=1m
add chain=input dst-port=5566 protocol=tcp src-address-list=”Vong 2″ action=add-src-to-address-list address-list=”Vong 3″ address-list-timeout=1m
add chain=input dst-port=6677 protocol=tcp src-address-list=”Vong 3″ action=add-src-to-address-list address-list=”Vong 4″ address-list-timeout=1m
add chain=input dst-port=7711 protocol=tcp src-address-list=”Vong 4″ action=add-src-to-address-list address-list=”WhiteList” address-list-timeout=120m
add chain=input src-address-list=WhiteList action=accept
add action=drop chain=input

Sao chép và dán các tệp lệnh vào cửa sổ Terminal.
Với bất kì Router nào của Mikrotik, bất kì phiên bản RouterOS nào cũng hoạt động được; bất kì cấu hình nào sẵn có trước đây.

! Mặc định, khi các lệnh được cài đặt thành công. Nếu kết nối Winbox từ xa qua Internet của bạn đều bị chặn lại – nếu không có địa chỉ trong danh sách WhiteList, ngoại trừ danh sách địa chỉ mạng đã gán sẵn trước đó.

2. Thử nghiệm

Nếu truy cập trực tiếp vào bộ định tuyến từ Internet, bạn không thể kết nối.

Giờ đây, để bộ định tuyến chấp nhận lưu lượng, từ bên ngoài Internet sẽ phải gõ cửa theo trình tự 3344 > 4455 > 5566 > 6677 > 7711 mới có thể truy cập vào dịch vụ trên Router hoặc trong mạng nội bộ.
Bằng cách mở trình duyệt và gán chỉ số cổng ngay sau liên kết truy cập, chẳng hạn: 6f3807a450e2.sn.mynetname.net:3344

Cũng thực hiện tương tự, nhưng cổng sẽ thay đổi thành: 6f3807a450e2.sn.mynetname.net:4455

Tiếp tục tương tự, nhưng cổng sẽ thay đổi thành: 6f3807a450e2.sn.mynetname.net:5566

Tiếp tục tương tự, nhưng cổng sẽ thay đổi thành: 6f3807a450e2.sn.mynetname.net:6677

Cuối cùng, cổng sẽ thay đổi thành: 6f3807a450e2.sn.mynetname.net:7711

Thử kết nối lại bộ định tuyến, và tất nhiên việc truy cập đã thành công.

Với quy tắc này, việc truy cập từ các nguồn không tin cậy có thể kiểm soát triệt để, và trên hết phương pháp này có thể giúp người quản lý chặn những kẻ vô trách nhiệm truy cập trái phép vào bộ định tuyến cũng như chặn tấn công DoS/DDoS vào dịch vụ trên bộ định tuyến.

Chúc các bạn thành công.